CVE-2021-29434

**Nome do software vulnerável e versões afetadas:

Versões do Wagtail anteriores à 2.11.7

Versões do Wagtail anteriores à 2.12.4

Descrição:

Nas versões afetadas do Wagtail, um sistema de gerenciamento de conteúdo baseado em Django, o software não aplica verificações no lado do servidor para garantir que as URLs dos links utilizem um protocolo válido ao salvar o conteúdo de um campo de texto rico na interface de administração. Um usuário mal-intencionado com acesso à interface de administração poderia criar uma solicitação POST para publicar conteúdo com URLs javascript: contendo código arbitrário. A vulnerabilidade não pode ser explorada por um visitante comum do site sem acesso à interface de administração do Wagtail.

Recomendações:

Para versões anteriores à 2.11.7, atualize para o Wagtail 2.11.7 ou posterior.

Para versões anteriores à 2.12.4, atualize para o Wagtail 2.12.4 ou posterior.

Como solução temporária para sites que não podem ser facilmente atualizados, adicione o código fornecido a um módulo wagtail hooks.py em qualquer aplicativo instalado para corrigir a vulnerabilidade.